Alertas CISA sobre falha de autenticação do Iskra iHUB, permitindo reconfiguração remota de dispositivos – Against Invaders

Alertas CISA sobre falha de autenticação do Iskra iHUB, permitindo reconfiguração remota de dispositivos - Against Invaders

A Agência de Segurança Cibernética e de Infraestrutura (CISA) emitiu um alerta crítico sobre uma grave vulnerabilidade de autenticação que afeta os gateways de medição inteligente Iskra iHUB e iHUB Lite em todo o mundo.

Atribuída ao CVE-2025-13510 com uma pontuação CVSS de 9,3, esta vulnerabilidade representa uma ameaça significativa às infra-estruturas críticas no sector da energia e não só.

A falha, classificada como falta de autenticação para uma função crítica (CWE-306), expõe a interface de gerenciamento web dos sistemas de medição inovadores do Iskra sem exigir quaisquer credenciais.

Isso significa que invasores em qualquer lugar da Internet podem acessar a interface administrativa desses dispositivos sem precisar de um senha ou token de autenticação.

A vulnerabilidade afeta todas as versões das plataformas iHUB e iHUB Lite, tornando o impacto potencial excepcionalmente amplo.

Pesquisadores da CISA descobriram que a exploração bem-sucedida permite que invasores remotos reconfigurem dispositivos, atualizem firmware e manipulem sistemas conectados sem qualquer necessidade de autenticação.

O ataque requer apenas acesso à rede e baixa complexidade, tornando sua execução trivialmente fácil para atores mal-intencionados.

Uma vez dentro da interface de gerenciamento, os invasores obtêm controle total do gateway de medição inteligente afetado, comprometendo potencialmente toda a rede. coleta de dados redes.

O impacto da vulnerabilidade é particularmente alarmante dado que os produtos do Iskra servem funções de infra-estruturas críticas a nível mundial.

Gateways de medição inteligentes e concentradores de dados formam a espinha dorsal dos modernos sistemas de gerenciamento de serviços públicos, coletando e processando dados de consumo de energia de milhares de terminais.

Um gateway comprometido pode afetar vários sistemas e consumidores downstream, criando falhas em cascata nas redes de serviços públicos.

Para agravar o problema, o Iskra não respondeu às tentativas da CISA de coordenar esta questão, não deixando nenhum patch do fornecedor disponível.

A CISA tentou entrar em contato com o Iskra por meio de canais oficiais, mas não recebeu nenhuma resposta substantiva do fornecedor em relação aos prazos de remediação ou estratégias de mitigação.

Em resposta a esta ameaça, CISA recomenda ações defensivas imediatas para as organizações afetadas.

Em primeiro lugar, minimize a exposição da rede garantindo que esses dispositivos do sistema de controle não sejam acessíveis diretamente pela Internet.

Isole as redes do sistema de controle atrás de firewalls e, sempre que possível, separe-as completamente das redes comerciais.

A CISA enfatiza a importância de uma análise de impacto e avaliação de risco minuciosas antes de implementar quaisquer medidas defensivas, para garantir que as mudanças não interrompam inadvertidamente as operações críticas.

Atualmente, nenhuma exploração pública conhecida visando especificamente este vulnerabilidade foi relatado à CISA.

No entanto, dada a facilidade de exploração e a natureza crítica das falhas, as organizações devem priorizar a segurança imediata das suas instalações do Iskra.

Qualquer organização que observe atividades suspeitas deve reportar as descobertas à CISA para rastreamento de ameaças e correlação com outros incidentes em todo o mundo.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.